- 1程序员为何不喜欢关电脑?揭秘背后的原因!_程序员为什么不喜欢关电脑的原因?
- 2OpenVINO快速入门_openvieno 是做什么用的 还有什么其它类似套件
- 32019多校第二场 HDU6602 Longest Subarray(思维,线段树区间修改维护最值)_2019hdu多校第二场
- 4Python中cv2.Canny() 函数用法详解_cv2.canny函数
- 5linux输出文件没有找到,linux – 尽管在ls中显示,但找不到文件
- 6DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现_tfpwn
- 7【算法与数据结构】1971、LeetCode寻找图中是否存在路径
- 8RecyclerView的使用+相关问题_recyclerview使用
- 9数据分析-10-扒一扒蔡徐坤微博100万+转发量的真假流量粉(包含数据和代码)
- 10LRU算法详解(java代码实现)_lru算法代码java
windows 远程连接mstsc到远程主机报:内部错误10010_mstsc 出现内部错误
赞
踩
一、问题描述
windows主机经基线加固处理后,重启主机再次mstsc远程连接时,报:内部错误,如下所示:
客户端侧报10013,服务器侧报10010;
二、分析处理
1、因现场环境是云主机,因此,我们需要首先通过移动云平台登录云主机,检查远程连接服务是否正常,端口是否正常;检查Remote Desktop Configuration(依存服务Workstation),Remote Desktop Services,Remote Desktop Services UserMode Port Redirector这些服务,检查是否启动正常;检查服务器的密码是否存在错误;检查是否安全软件配置修改,版本升级导致;
2、如果怀疑网络异常,可执行netsh winsock reset,重置网络(重置socket)后重启,尝试,现场验证无果。netsh int ip reset重新配置网络;
3、组策略编辑器(gpedit.msc)->管理模板->windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层,更改为“已启用”,下方安全层选择“RDP”。确定后,重启RDP服务,或者直接重启主机。----》跳过身份验证登录,现场验证未果。
4、问询/会议重启之前可能的配置,还原本地安全组策略相关配置项,尝试;现场因重启距离配置时间过长,无法准确确定修改项。
5、执行eventvwr.exe打开事件台,检查报错,可看到服务器测有报错:创建TLS客户端凭据时发生严重错误,内部错误状态为10010,如下所示:
6、、使用mstsc替代程序尝试替换:软件下载,该版本是20年前的mstsc,默认不走加密协议;
7、对比正常主机配置项,排除法消除怀疑项,尝试;
注:客户端检测上述注册表项,删除Default下,目标服务器的IP地址尝试。现场验证未果。
8、重新重新注册系统组件,执行如下命令,完成后重启尝试
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
- 1
9、组策略修改,gpedit.msc,【管理模板】—【网络】找到ssl配置设置,双击ssl密码套件顺序,现场已启用,检查对应证书配置,发现未配置,后来恢复后,重新登录系统后,重新配置证书,如下所示:
注: 上图中密码套件分隔符有误,请用逗号替换。
注: 更多参看SSL/TLS协议信息泄露漏洞处理。
注:也可使用Windows自带的FIPS代替SSL加密,管理工具->本地安全策略->安全设置->本地策略->安全选项->找到“系统加密:将FIPS兼容算法用于加密、哈希和签名”选项->右键“属性”->在“本地安全设置”下,选择“已启用(E)”;
对于 Schannel 安全服务提供程序(SSP),此安全设置禁用较弱的安全套接字层(SSL)协议,并仅支持传输层安全性**(TLS**)协议作为客户端以及作为服务器(如果适用)。如果启用此设置,传输层安全性/安全套接字层(TLS/SSL)安全提供程序将仅使用 FIPS 140 批准的加密算法: 3DES(不安全) 和 AES 用于加密、RSA 或 ECC 公钥加密用于 TLS 密钥交换和身份验证,而安全哈希算法(SHA1、SHA256、SHA384 和 SHA512)仅用于满足 TLS 哈希要求。
对于加密文件系统服务(EFS),它支持三重数据加密标准(DES)和高级加密标准(AES)加密算法来加密 NTFS 文件系统支持的文件数据。默认情况下,EFS 在 Windows Server 2003 和 Windows Vista 系列中使用带 256 位密钥的高级加密标准(AES)算法而在 Windows XP 中使用 DESX 算法来加密文件数据。对于远程桌面服务,它仅支持使用三重 DES 加密算法来加密远程桌面服务网络通信。因此整体来说并不安全。
10、最小化启动尝试,msconfig打开系统配置,单击服务----勾选下面的“隐藏所有 Microsoft 服务”--------点击“全部禁用”。
11、如果怀疑服务器系统文件部分损坏,执行sfc /scannow检查文件系统,它会扫描所有受保护的系统文件,并用位于 %WinDir%\System32\dllcache 的压缩文件夹中的缓存副本替换损坏的文件。相关修复信息可在%WinDir%\Logs\CBS\CBS.log日志中看到;
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /RestoreHealth
sfc /scannow
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
筛选出系统文件检查器进程检查情况的信息。当你确定哪个系统文件已损坏且无法通过 Sfcdetails.txt 文件中的详细信息修复之后,查找损坏文件所在的位置,然后手动将损坏的文件替换为已知完好的文件副本。 从与你的计算机运行相同版本的 Windows 的另一台计算机获取系统文件的已知完好副本。
1、takeown /f Path_And_File_Name //获得损坏的系统文件的管理所有权。 Path_And_File_Name 占位符代表损坏文件的路径和文件名
2、 icacls Path_And_File_Name //授予管理员完全访问损坏的系统文件的权限
3、 copy E:\temp\完好副本 C:\windows\system32\损坏文件 //将损坏的系统文件替换为已知完好的文件副本
三、结论
综上,本次故障为SSL配置认证后,证书问题或客户端和服务端加密算法不一致所致,可借助IIS Crypto工具完成,如下所示:
脚本参考:
# Copyright 2016, Alexander Hass # http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12 # # Version 1.7 # - Windows Version compare failed. Get-CimInstance requires Windows 2012 or later. # Version 1.6 # - OS version detection for cipher suites order. # Version 1.5 # - Enabled ECDH and more secure hash functions and reorderd cipher list. # - Added Client setting for all ciphers. # Version 1.4 # - RC4 has been disabled. # Version 1.3 # - MD5 has been disabled. # Version 1.2 # - Re-factored code style and output # Version 1.1 # - SSLv3 has been disabled. (Poodle attack protection) Write-Host 'Configuring IIS with SSL/TLS Deployment Best Practices...' Write-Host '--------------------------------------------------------------------------------' # Disable Multi-Protocol Unified Hello New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -name Enabled -value 0 -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client' -name Enabled -value 0 -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
